Covered by FixVibecritical

代理API金鑰驗證中的LiteLLM SQL注入（CVE-2026-42208） ZXCVFIXVIBESEND ZXCVFIXVIBESEG1 LiteLLM 版本 1.81.16 至 1.83.6 容易受到代理 API 金鑰驗證 (CVE-2026-42208) 中關鍵 SQL 注入的攻擊。已於 1.83.7 修復。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG2 LiteLLM 版本 1.81.16 至 1.83.6 在代理 CVE-2026-42208 金鑰驗證邏輯中包含嚴重的 SQL 注入漏洞。此缺陷允許未經身份驗證的攻擊者繞過身份驗證控製或存取底層資料庫。該問題已在版本 1.83.7 中解決。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG3 ## 影響 ZXCVFIXVIBESEND ZXCVFIXVIBESEG4 LiteLLM在其代理ZXCVFIXVIBETOKEN3ZXCV金鑰驗證過程CVE-2026-42208中包含一個嚴重的SQL注入漏洞。此缺陷允許未經身份驗證的攻擊者繞過安全性檢查，並可能存取或竊取底層資料庫 APIZXCVFIXVIBETOKEN2ZXCV 中的資料。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG5 ## 根本原因 ZXCVFIXVIBESEND ZXCVFIXVIBESEG6 此問題被識別為 ZXCVFIXVIBETOKEN3ZXCV（SQL 注入）CVE-2026-42208。它位於LiteLLM代理組件API的ZXCVFIXVIBETOKEN4ZXCV密鑰驗證邏輯。此漏洞源自於資料庫查詢 ZXCVFIXVIBETOKEN2ZXCV 中所使用的輸入清理不足。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG7 ## 受影響的版本 ZXCVFIXVIBESEND ZXCVFIXVIBESEG8 LiteLLM 版本 1.81.16 至 1.83.6 受此漏洞 CVE-2026-42208 影響。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG9 ## 具體修復 ZXCVFIXVIBESEND ZXCVFIXVIBESEG10 將 LiteLLM 更新至版本 1.83.7 或更高版本以緩解此漏洞 CVE-2026-42208。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG11 ## CVE-2026-42208 如何測試它 ZXCVFIXVIBESEND ZXCVFIXVIBESEG12 ZXCVFIXVIBETOKEN5ZXCV 現在將其包含在 ZXCVFIXVIBETOKEN6ZXCV 儲存庫掃描中。此檢查僅讀取授權儲存庫依賴文件，包括CVE-2026-42208、API、ZXCVFIXVIBETOKEN2ZXCV和ZXCVFIXVIBETOKEN3ZXCV。它標記與受影響範圍 ZXCVFIXVIBETOKEN4ZXCV 匹配的 LiteLLM 引腳或版本約束，然後報告依賴檔案、行號、諮詢 ID、受影響範圍和修復版本。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG13 這是靜態、唯讀的儲存庫檢查。它不執行客戶程式碼，也不發送漏洞利用負載。

LiteLLM versions 1.81.16 through 1.83.6 contain a critical SQL injection vulnerability in the Proxy API key verification logic. This flaw allows unauthenticated attackers to bypass authentication controls or access the underlying database. The issue is resolved in version 1.83.7.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89

Impact

LiteLLM contains a critical SQL injection vulnerability in its Proxy API key verification process [S1]. This flaw allows unauthenticated attackers to bypass security checks and potentially access or exfiltrate data from the underlying database [S1][S3].

Root Cause

The issue is identified as CWE-89 (SQL Injection) [S1]. It is located in the API key verification logic of the LiteLLM Proxy component [S2]. The vulnerability stems from insufficient sanitization of input used in database queries [S1].

Affected Versions

LiteLLM versions 1.81.16 through 1.83.6 are affected by this vulnerability [S1].

Concrete Fixes

Update LiteLLM to version 1.83.7 or higher to mitigate this vulnerability [S1].

How FixVibe tests for it

FixVibe now includes this in GitHub repo scans. The check reads authorized repository dependency files only, including requirements.txt, pyproject.toml, poetry.lock, and Pipfile.lock. It flags LiteLLM pins or version constraints that match the affected range >=1.81.16 <1.83.7, then reports the dependency file, line number, advisory IDs, affected range, and fixed version.

This is a static, read-only repo check. It does not execute customer code and does not send exploit payloads.